苹果已经明确了即将生效的7月20日为后期限的Symantec CA的不信任计划。
任何Symantec CA 在2016年6月1日至2017年12月1日期间签发的SSL证书,如果没有公布证书透明度日志,将不被信任。
这个时间限制只适用于Symantec的证书,对于其他的 SSL/TLS,苹果的CT期限仍然是10月15日。值得注意的是,除了浏览器中的网页内容外,这项要求会影响到 SSL/TLS的用例;受影响的包括:
macOS High Sierra
macOS apps
iOS 11
iOS apps
Safari browser
这不太可能产生重大影响,因为这种不信任将主要影响已经被谷歌的 chrome浏览器和 Firefox 处罚的证书。另外,Symantec在与谷歌(Google)之前的分歧之后,已经被要求对其发行的证书进行记录。
尽管如此,网站管理者还是会再次检查他们的Symantec证书,以免被四大浏览器之一的Chrom不信任。
如何确认我的SSL证书是否已被CT记录?
我们从证书透明度出发,这是一个行业问题,终端用户不需要做任何事情来记录他们自己的证书,全部由CA来完成。有两种方法可以检查并查看您被发出的SSL证书是否已被记录。步是检查浏览器中的证书细节:
打开你的网站
单击浏览器地址栏中的小锁图标
找到可以查看证书或证书详细信息的地方
查找字符串:1.3.6.1.4.1.11129.2.4.2
如果找到该字符串,则意味着您的证书已被记录。这个OID对于所有的CT记录的证书是相同的。但是,浏览器显示的方式有点不同。例如,Safari 这样显示:
Firefox将其称为“对象标识符”.
Google则是让你浏览它的菜单,从“更多工具”部分中选择“开发工具”,然后选择“安全”,在那里你可以点击“Main Origin.”查看证书的详细信息。
如果你正在使用微软的 Edge 浏览器,或者只是不想在你的浏览器中点击,还有一个方法可以检查。那就是使用 Symantec CryptoReport 工具:
访问 Symantec CryptoReport 工具网站,链接如下:
https://cryptoreport.websecurity.symantec.com/checker/views/ctsearch.jsp
输入您的网址
检查:“Certificate Transparency: Embedded in certificate”
如果看到了这句话,那么恭喜你!您的证书没问题。
如果不是,而你使用的是2016年6月1日至2017年12月1日期间签发的Symantec CA品牌的SSL证书,你需要立即重新签发该证书或更换你的SSL证书品牌。这可以从DigiCert免费替换, 因为DigiCert 已经收购了 Symantec 证书业务,并且在过去的9个月里一直在努力地替换数百万受影响的证书。
明确地说,这影响到 Symantec CA 的所有SSL证书品牌:
Symantec
GeoTrust
Thawte
RapidSSL
所以一定要确认你使用的是已经被记录的证书,否则下周你的证书就会有问题了。